短い複雑なパスワードを使用する代わりに長いパスフレーズの使用を検討してください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭にある『パスワード』の話はこのブログでも何度か取り上げてきました。

では、『パスワード』の設定は何が望ましいのでしょうか？

FBIが勧めるパスワード設定

FBI（米連邦捜査局）が勧告している『パスワード』設定の根拠はNIST（米国立標準技術研究所）のガイドラインのようですが、それには大文字、小文字、または特殊文字（記号）を必要とせず、15文字以上の長いパスワード（パスフレーズ）を推奨するとされています。

これは、大文字、小文字、数字、特殊文字（記号）を使った『短いパスワード』よりはそうではない『長いパスフレーズ』の方が解読されにくいことを意味しているように思えます。

『パスワード』を複雑にし過ぎてしまうと『覚えにくい＝忘れてしまう』ということも多々あるため、覚えられる『パスフレーズ』を使った15文字以上の長い文字列を推奨しているのでしょう。

ただし、大文字、小文字、または特殊文字（記号）を使うなということではありません。

確率的に言えばそれらを混在させた方が良いとは言えます。

結果的に自分流の『法則』を作ってしまえば良いです。

FBI（米連邦捜査局）のサイトには以下のような例がありました。

『VoicesProtected2020WeAre』、『DirectorMonthLearnTruck』

このような例に加えて特殊文字（記号）を含めた『パスフレーズ』を作れば良いです。

ワードとワードの間に何かしらの特殊文字（記号）を入れるルールを自分で決めておけば良いです。

例えば、『Voices.Protected–2020@WeAre』といった感じに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、皆さんはGoogleのサービスにログインする際、どのような方法でログインしていますか？

おそらく、2段階認証を使っている人の中でも多くはSMSを使った2段階認証でGoogleのサービスにログインしているかと思いますが、実はこの方法は推奨されていません。

SMSによる2段階認証が非推奨な理由

米国立標準技術研究所（NIST）は、SMSによる2段階認証を以下の理由から安全ではないとし、非推奨としています。

１．攻撃者が携帯電話事業者をだましてSMSのメッセージを自分の携帯電話にリダイレクトさせられる

２．SMS経由で銀行からユーザーに送信されたコードを読み取る悪質なAndroidアプリが数多く存在する

では、どのような方法であれば安全なのでしょうか？

Google Promptを使った2段階認証

Googleは昨年、Google Prompt（プロンプト）という新たなオプションを導入し、提供しはじめました。

これは暗号化された接続を介して認証プロセスが実行されることから、SMSを使った方式よりも安全であり、推奨されています。

認証方法は非常にシンプルです。

１．Googleアカウントにログインすると、スマートフォンを確認するよう促すリマインダーが表示される

２．スマートフォンに送信された『ログインしようとしていますか？』というプロンプトで『はい』をタップする

これだけです。

ただし、Googleアカウントにて予めスマートフォンを追加しておく必要があることと、スマートフォンにはGoogleアプリを入れておく必要があります。

ちなみに、私の場合は『Google2段階認証とスマホ認証』の記事でご紹介したスマートフォン認証を使っていますが、プロンプト方式の2段階認証よりプロセスが増えますので、それでも良い場合はこちらがお勧めです。